Utilisant deux failles, le ver installe un cheval de Troie sur un PC à partir de la simple visite de sites Web compromis par une faille Microsoft. Et retient mots de passe et autres données confidentielles.

Scob peut se révéler très dangereux. Contrairement aux vers classiques, il n'utilise pas les messageries et les fichiers joints pour se propager. La sale bête est présente au sein même de certains sites Internet!

Explications. Scob exploite une faille de sécurité dans le logiciel Internet Information Services (IIS) de Microsoft. Une faille non corrigée à ce jour. Le logiciel est utilisé sur les serveurs hébergeant les sites web, qui va à son tour utiliser une autre faille dans le navigateur web Internet Explorer pour y installer un "trojan" (cheval de Troie) quand l'internaute visite un site contaminé.

L'équipe américaine du Computer Emergency Readiness a publié un avertissement sur son site web, soulignant que "tout site web, même ceux réputés fiables, peuvent être affectés par cette attaque et potentiellement contenir un code malveillant".

Le Trojan ainsi installé va ensuite enregistrer les touches frappées par l'utilisateur afin de saisir les numéros de cartes bancaires et les mots de passe avant de les envoyer vers un serveur situé en Russie, a décrit Michael Murray, responsable de la société de sécurité nCircle Network Security.

Néanmoins, la menace pesant sur les données confidentielles des internautes semblait vendredi soir s'être atténuée: "On dirait que le serveur (russe) a été fermé dans les huit dernières heures. Nous ne savons pas s'il a été déconnecté par les autorités ou si c'est accidentel", a déclaré Michael Murray.

Sur son site web, l'éditeur explique que les utilisateurs peuvent rechercher sur leur système les fichiers "Kk32.dll" et "Surf.dat", dont la présence signale une machine infectée. Il recommande de régler les paramètres de sécurité d'Internet Explorer sur "haut".

Les versions pour Macintosh d'Internet Explorer ne sont pas concernées par le virus Scob, ni les navigateurs web non-Microsoft, comme Mozilla, Opera et Safari d'Apple.

Une 'drôle' de surprise signée Microsoft

Microsoft indique travailler sur le problème, et confirme que le risque est critique ! L'éditeur confirme que les serveurs sous Windows 2000 Server et IIS peuvent être contaminés si la mise à jour 835732 n'a pas été effectuée.

Mais la principale surprise vient de l'information selon laquelle les postes sur lesquels la mise à jour Windows XP SP2 a été déployée sont protégés. On est très contents pour eux, mais la SP2 n'est pas encore disponible. Sympa Microsoft !